DocumentDB SQL - sparametryzowane

W relacyjnych bazach danych sparametryzowane zapytanie to zapytanie, w którym parametry zastępcze są używane, a wartości parametrów są podawane w czasie wykonywania. DocumentDB obsługuje również sparametryzowane zapytania, a parametry w sparametryzowanych zapytaniach można wyrazić za pomocą znanej notacji @. Najważniejszym powodem używania zapytań parametrycznych jest unikanie ataków typu SQL injection. Może również zapewnić niezawodną obsługę i unikanie danych wejściowych użytkownika.

Spójrzmy na przykład, w którym będziemy używać .Net SDK. Poniżej znajduje się kod, który usunie kolekcję.

private async static Task DeleteCollection(DocumentClient client, string collectionId) { 
   Console.WriteLine(); 
   Console.WriteLine(">>> Delete Collection {0} in {1} <<<", 
   collectionId, _database.Id);  
   var query = new SqlQuerySpec { 
      QueryText = "SELECT * FROM c WHERE c.id = @id", 
      Parameters = new SqlParameterCollection { new SqlParameter { Name = 
         "@id", Value = collectionId } } 
   };
   
   DocumentCollection collection = client.CreateDocumentCollectionQuery(database.SelfLink, 
      query).AsEnumerable().First();  
		
   await client.DeleteDocumentCollectionAsync(collection.SelfLink);  
	
   Console.WriteLine("Deleted collection {0} from database {1}", 
      collectionId, _database.Id); 
}

Konstrukcja sparametryzowanego zapytania jest następująca.

var query = new SqlQuerySpec { 
   QueryText = "SELECT * FROM c WHERE c.id = @id",
   Parameters = new SqlParameterCollection { new SqlParameter { Name = 
      "@id", Value = collectionId } } 
};

Nie kodujemy na stałe elementu collectionId, więc ta metoda może służyć do usuwania dowolnej kolekcji. Możemy użyć symbolu „@”, aby poprzedzić nazwy parametrów, podobnie jak w SQL Server.

W powyższym przykładzie wysyłamy zapytanie o konkretną kolekcję według Id, w której parametr Id jest zdefiniowany w tym SqlParameterCollection przypisanym do właściwości parametru tego SqlQuerySpec. Następnie zestaw SDK konstruuje ostateczny ciąg zapytania dla bazy danych DocumentDB z osadzonym w nim elementem collectionId. Uruchamiamy zapytanie, a następnie używamy jego SelfLink do usunięcia kolekcji.

Poniżej znajduje się implementacja zadania CreateDocumentClient.

private static async Task CreateDocumentClient() { 
   // Create a new instance of the DocumentClient 
   using (var client = new DocumentClient(new Uri(EndpointUrl), AuthorizationKey)) { 
      database = client.CreateDatabaseQuery("SELECT * FROM 
         c WHERE c.id = 'earthquake'").AsEnumerable().First(); 
			
      collection = client.CreateDocumentCollectionQuery(database.CollectionsLink, 
         "SELECT * FROM c WHERE c.id = 'myfirstdb'").AsEnumerable().First();
			
      await DeleteCollection(client, "MyCollection1"); 
      await DeleteCollection(client, "MyCollection2"); 
   } 
}

Gdy kod jest wykonywany, generuje następujące dane wyjściowe.

**** Delete Collection MyCollection1 in mydb **** 
Deleted collection MyCollection1 from database myfirstdb 
 
**** Delete Collection MyCollection2 in mydb **** 
Deleted collection MyCollection2 from database myfirstdb

Spójrzmy na inny przykład. Możemy napisać zapytanie, które jako parametry przyjmuje nazwisko i stan adresu, a następnie wykonuje je dla różnych wartości lastname i location.state na podstawie danych wprowadzonych przez użytkownika.

SELECT *  
FROM Families f 
WHERE f.lastName = @lastName AND f.location.state = @addressState

To żądanie można następnie wysłać do usługi DocumentDB jako sparametryzowane zapytanie JSON, jak pokazano w poniższym kodzie.

{       
   "query": "SELECT * FROM Families f WHERE f.lastName = @lastName AND 
      f.location.state = @addressState", 
		
   "parameters": [           
      {"name": "@lastName", "value": "Wakefield"},          
      {"name": "@addressState", "value": "NY"},            
   ]  
}